概要
Flowiseはドラッグ&ドロップでLLMフローを構築するUIツールです。3.1.0より前のバージョンで、GraphCypherQAChainノードがユーザー入力を適切にサニタイズせずにNeo4jのCypherクエリ実行パイプラインに渡します。攻撃者は任意のCypherコマンドを注入でき、データの窃取・改ざん・削除が可能です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8(Critical) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザー関与 | 不要 |
| CWE | CWE-943(データクエリロジックの不適切な無害化) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Flowise | FlowiseAI | 3.1.0 未満 |
修正バージョンと回避策
- Flowise 3.1.0 以降へアップデートしてください
- GraphCypherQAChainノードを使用していない場合でもアップデートを推奨します
- 外部公開している場合はアクセス制限を確認してください
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。